elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO  (Leído 11,338 veces)
Chuxxx

Desconectado Desconectado

Mensajes: 122



Ver Perfil WWW
Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO
« en: 10 Mayo 2010, 23:56 pm »
Bueno, les cuento que un hacker nos esta metiendo mano a nuestras pc's... Aca tengo un log del hijackthis y de netstat -a

Código:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:54, on 10/05/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\SiS VGA Utilities\SiSTray.exe
C:\Program Files\Elantech\KTP.EXE
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Windows\System32\WTClient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\AVG\AVG9\avgui.exe
C:\Program Files\AVG\AVG9\avgscanx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Users\sandra\Desktop\Hijackthis\HiJackThis 2.0.2 Portable.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SiSTray] %ProgramFiles%\SiS VGA Utilities\SiSTray.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\Control Center\CCenter.exe
O4 - HKLM\..\Run: [KTPWare] C:\Program Files\Elantech\ktp.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [WTClient] WTClient.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Users\sandra\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
O4 - HKCU\..\Run: [googletalk] C:\Users\sandra\AppData\Roaming\Google\Google Talk\googletalk.exe /autostart
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: inicio.lnk = C:\Windows\System32\sysprep\BurnInTest\inicio.cmd
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: www.hotmail.com
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\Windows\System32\Drivers\WTSRV.EXE

--
End of file - 5672 bytes

Código:
Conexiones activas

  Proto  Direcci¢n local        Direcci¢n remota       Estado
  TCP    0.0.0.0:80             sandra1:0              LISTENING
  TCP    0.0.0.0:135            sandra1:0              LISTENING
  TCP    0.0.0.0:445            sandra1:0              LISTENING
  TCP    0.0.0.0:5357           sandra1:0              LISTENING
  TCP    0.0.0.0:5938           sandra1:0              LISTENING
  TCP    0.0.0.0:49152          sandra1:0              LISTENING
  TCP    0.0.0.0:49153          sandra1:0              LISTENING
  TCP    0.0.0.0:49154          sandra1:0              LISTENING
  TCP    0.0.0.0:49155          sandra1:0              LISTENING
  TCP    0.0.0.0:49156          sandra1:0              LISTENING
  TCP    127.0.0.1:9997         sandra1:0              LISTENING
  TCP    127.0.0.1:10110        sandra1:0              LISTENING
  TCP    192.168.1.35:139       sandra1:0              LISTENING
  TCP    192.168.1.35:49252     server853:5938         TIME_WAIT
  TCP    192.168.1.35:49253     ds87-230-74-43:5938    TIME_WAIT
  TCP    192.168.1.35:49254     server918:5938         ESTABLISHED
  TCP    [::]:135               sandra1:0              LISTENING
  TCP    [::]:445               sandra1:0              LISTENING
  TCP    [::]:5357              sandra1:0              LISTENING
  TCP    [::]:49152             sandra1:0              LISTENING
  TCP    [::]:49153             sandra1:0              LISTENING
  TCP    [::]:49154             sandra1:0              LISTENING
  TCP    [::]:49155             sandra1:0              LISTENING
  TCP    [::]:49156             sandra1:0              LISTENING
  UDP    0.0.0.0:123            *:*                    
  UDP    0.0.0.0:500            *:*                    
  UDP    0.0.0.0:3702           *:*                    
  UDP    0.0.0.0:3702           *:*                    
  UDP    0.0.0.0:4500           *:*                    
  UDP    0.0.0.0:5355           *:*                    
  UDP    0.0.0.0:49152          *:*                    
  UDP    0.0.0.0:49896          *:*                    
  UDP    127.0.0.1:1900         *:*                    
  UDP    127.0.0.1:49169        *:*                    
  UDP    127.0.0.1:49170        *:*                    
  UDP    127.0.0.1:63448        *:*                    
  UDP    192.168.1.35:137       *:*                    
  UDP    192.168.1.35:138       *:*                    
  UDP    192.168.1.35:1900      *:*                    
  UDP    192.168.1.35:63447     *:*                    
  UDP    [::]:123               *:*                    
  UDP    [::]:500               *:*                    
  UDP    [::]:3702              *:*                    
  UDP    [::]:3702              *:*                    
  UDP    [::]:5355              *:*                    
  UDP    [::]:49153             *:*                    
  UDP    [::1]:1900             *:*                    
  UDP    [::1]:63445            *:*                    
  UDP    [fe80::c54:3f99:3f57:fedc%14]:1900  *:*                    
  UDP    [fe80::c54:3f99:3f57:fedc%14]:63446  *:*                    
  UDP    [fe80::1129:9e10:a41f:6599%13]:546  *:*                    
  UDP    [fe80::1129:9e10:a41f:6599%13]:1900  *:*                    
  UDP    [fe80::1129:9e10:a41f:6599%13]:63443  *:*                    
  UDP    [fe80::e162:57d2:5e9a:404e%10]:1900  *:*                    
  UDP    [fe80::e162:57d2:5e9a:404e%10]:63444  *:*                    

Hay algo mas que pueda hacer? Como puedo obtener la IP para poder hacer la denuncia? Yo pensaba con ingenieria social, mandandole un archivo x msn y sacarlo de ahi, pero algo mas pronto no se puede? Aparte de esto se ha hecho cuentas en Badoo con nuestros nombres y nuestros mails (Entro a nuestros mails y confirmo la cuenta) Lo sé porque despues nos llegaban mails que decian que nos hablaron, y quien mas podria ser que ese loco? pues nadie... que yo crea... Aparte de la otra que hizo, un caso de pedofilia, pero ya es otra historia...
« Última modificación: 14 Mayo 2010, 05:40 am por Chuxxx » En línea
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Esta PC está bien?
« Respuesta #1 en: 11 Mayo 2010, 03:39 am »
En los procesos no veo nada, pero me llama la atención esos puertos altos en escucha  :( , ejecuta un netstat -ab

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Chuxxx

Desconectado Desconectado

Mensajes: 122



Ver Perfil WWW
Re: Esta PC está bien?
« Respuesta #2 en: 12 Mayo 2010, 18:06 pm »
Código:
C:\Users\sandra>netstat -ab
La operación solicitada requiere elevación

Me salta eso, en las dos notebooks... Y soy administrador del equipo..
De seguro en esos puertos altos él entra..
Que hago?jajaja
En línea
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Esta PC está bien?
« Respuesta #3 en: 12 Mayo 2010, 18:54 pm »
TCPView :P

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Chuxxx

Desconectado Desconectado

Mensajes: 122



Ver Perfil WWW
Re: Esta PC está bien?
« Respuesta #4 en: 14 Mayo 2010, 01:27 am »
Código:
avgemc.exe:2236 TCP sandra1:10110 sandra1:0 LISTENING
explorer.exe:3544 UDP sandra1:49170 *:*
iexplore.exe:2104 UDP sandra1:51829 *:*
iexplore.exe:3220 UDP sandra1:59148 *:*
lsass.exe:716 TCP sandra1:49156 sandra1:0 LISTENING
lsass.exe:716 TCPV6 sandra1:49156 sandra1:0 LISTENING
services.exe:704 TCP sandra1:49155 sandra1:0 LISTENING
services.exe:704 TCPV6 sandra1:49155 sandra1:0 LISTENING
svchost.exe:1192 TCP sandra1:epmap sandra1:0 LISTENING
svchost.exe:1192 TCPV6 sandra1:135 sandra1:0 LISTENING
svchost.exe:1332 TCP sandra1:49153 sandra1:0 LISTENING
svchost.exe:1332 TCPV6 sandra1:49153 sandra1:0 LISTENING
svchost.exe:1384 TCP sandra1:49154 sandra1:0 LISTENING
svchost.exe:1384 UDP sandra1:isakmp *:*
svchost.exe:1384 UDP sandra1:ipsec-msft *:*
svchost.exe:1384 UDP sandra1:49169 *:*
svchost.exe:1384 TCPV6 sandra1:49154 sandra1:0 LISTENING
svchost.exe:1384 UDPV6 sandra1:500 *:*
svchost.exe:1588 UDP sandra1:ntp *:*
svchost.exe:1588 UDP sandra1:ssdp *:*
svchost.exe:1588 UDP sandra1:ssdp *:*
svchost.exe:1588 UDP sandra1:3702 *:*
svchost.exe:1588 UDP sandra1:3702 *:*
svchost.exe:1588 UDP sandra1:49152 *:*
svchost.exe:1588 UDPV6 sandra1:123 *:*
svchost.exe:1588 UDPV6 sandra1:1900 *:*
svchost.exe:1588 UDPV6 [fe80:0:0:0:c76:1565:3f57:fedc]:1900 *:*
svchost.exe:1588 UDPV6 sandra1:1900 *:*
svchost.exe:1588 UDPV6 [fe80:0:0:0:e162:57d2:5e9a:404e]:1900 *:*
svchost.exe:1588 UDPV6 sandra1:3702 *:*
svchost.exe:1588 UDPV6 sandra1:3702 *:*
svchost.exe:1588 UDPV6 sandra1:49153 *:*
svchost.exe:1588 UDP sandra1:49793 *:*
svchost.exe:1588 UDPV6 sandra1:49792 *:*
svchost.exe:1780 UDP sandra1:llmnr *:*
svchost.exe:1780 UDPV6 sandra1:5355 *:*
System:4 TCP sandra1:netbios-ssn sandra1:0 LISTENING
System:4 TCP sandra1:microsoft-ds sandra1:0 LISTENING
System:4 TCP sandra1:5357 sandra1:0 LISTENING
System:4 UDP sandra1:netbios-ns *:*
System:4 UDP sandra1:netbios-dgm *:*
System:4 TCPV6 sandra1:445 sandra1:0 LISTENING
System:4 TCPV6 sandra1:5357 sandra1:0 LISTENING
wininit.exe:576 TCP sandra1:49152 sandra1:0 LISTENING
wininit.exe:576 TCPV6 sandra1:49152 sandra1:0 LISTENING

Ahi esta el log, ves algo fuera de lugar? :P
En línea
portaro


Desconectado Desconectado

Mensajes: 1.065



Ver Perfil WWW
Re: Esta PC está bien?
« Respuesta #5 en: 14 Mayo 2010, 02:45 am »
yo no pillo el server por ahora con lo que has aportado no hay identificacion del vampiro.

en lo resto no veo absolutamente nada.

 tu avg -  LO haz bajado en el sitio del fabricante?

Es que no veo nada que pueda hilar al vampiro.

abrazote.
En línea

bomba1990


Desconectado Desconectado

Mensajes: 395



Ver Perfil WWW
Re: Esta PC está bien?
« Respuesta #6 en: 14 Mayo 2010, 05:28 am »
quizas el enemigo no esta a fuera sino adentro. >:D >:D
En línea
"Cuando le di de comer a los pobres me llamaron santo, pero cuando pregunte porque los pobres eran pobres me dijeron comunista"

http://sosinformatico.blogspot.com/
http://www.publisnet.com.ve
Chuxxx

Desconectado Desconectado

Mensajes: 122



Ver Perfil WWW
Re: Esta PC está bien?
« Respuesta #7 en: 14 Mayo 2010, 05:35 am »
que raro :S entonces por donde puede entrar un supuesto hacker? si puse el Process Blocker y de la nada salio que el cmd.exe y el telnet.exe ha sido bloqueado (La cual la bloquea cuando el programa es abierto, que sale la pantalla y se cierra al instante). Es él, estoy seguro. Es EDIT. MEJOR BORRO EL NOMBRE. Pasa que no tengo pruebas para hacer la denuncia, porque uso el hacking éste para poder hacer otras cosas mucho mas malas (que no creo que a nadie les guste) la cual no tengo permiso de comentarlas. la que le puedo contar, es que entraba al mail, y mandaba tipos cachondos a la casa de la dueña del mail, y bueno, otras cosas mas. que puedo hacer? como logro tener una pista? algun otro programa, algo?

Cita de: bomba1990 en 14 Mayo 2010, 05:28 am
quizas el enemigo no esta a fuera sino adentro. >:D >:D
Como adentro? Sigo insistiendo que es él, y él no tiene acceso fisico a las computadoras.. Solo lo tuvo una vez, en una de las 4, y pense que habia puesto un bot de alguna botnet, o algun troyano, pero el AV no encontro nada...

Citar
tu avg -  LO haz bajado en el sitio del fabricante?
El AVG, por lo que vi, esta hasta registrado... la version full.. no te se decir si fue bajado por la pagina del fabricante, porque 2 pc no son mias. son 4 pc, 2 mias, una de una chica y otra de otra chica, la cual el mismo hacker entro (que de eso estoy muy muy seguro, esas chicas conocen al hacker personalmente, yo no, pero por lo que conto, yo tambien estoy seguro de que fue el...)
« Última modificación: 14 Mayo 2010, 05:46 am por Chuxxx » En línea
dantemc


Desconectado Desconectado

Mensajes: 2.003

:D


Ver Perfil
Re: Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO
« Respuesta #8 en: 14 Mayo 2010, 05:55 am »
wmic process
te dara los procesos y sus archivos
wmic startup list full
programas que se ejecutan al inicio +  ubicaciones + llave del registro en caso de que este asociado de esa manera

todo wintendo trae wmic :)
En línea
8-D
[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513

El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO
« Respuesta #9 en: 14 Mayo 2010, 16:49 pm »
Ha faltado la pregunta mas importante... como sabes que un hacker le esta metiendo mano a tu pc?
En línea
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Hola , están bien estos voltajes?
Hardware 		ocmd 2 3,596 Último mensaje 24 Abril 2011, 23:08 pm
por simorg
Esta bien esta tarjeta de video?
Hardware 		rin0x 1 2,361 Último mensaje 4 Abril 2012, 16:21 pm
por Aprendiz-Oscuro
me gustaria q me revisaran esta funcion recursiva y m dijeran si esta bien
Programación C/C++ 		eduardo17445 5 3,806 Último mensaje 2 Noviembre 2012, 05:16 am
por eduardo17445
[Ayuda] Compiz me está tildando la PC :(
GNU/Linux 		ignorantev1.1 2 2,027 Último mensaje 22 Abril 2013, 23:22 pm
por ignorantev1.1
diganme si esta funcion recursiva esta bien devc++
Programación C/C++ 		eduardo17445 4 2,485 Último mensaje 24 Abril 2013, 04:00 am
por 85
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines